5 sanctions RGPD à connaître des entreprises et associations
Chaque année, des entreprises et associations sont sanctionnés par la CNIL pour manquement au RGPD. Il peut s'agir de médecins, d'auto-entrepreneurs, d’associations, de TPE/PME ou encore de Groupes comme Carrefour.
5 sanctions RGPD incontournables
7300 € pour une TPE et 1000 € d’astreinte par jour de retard (1/5)
Une TPE de 2 salariés a été sanctionnée d’une amende de 7 300€ et d’une injonction de mise en conformité dans un délai de 2 mois, sous peine d’une astreinte de 1000€ par jour de retard (fin 2020). Il était question de cinq manquements au RGPD, dont un défaut d’information des personnes et le manquement à l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection.
75 000 € pour une association de droit privé à but non lucratif (2/5)
En juin 2018 une association (ADEF) a été sanctionnée à hauteur de 75 000 € pour avoir manqué à son devoir de protection des données de ses utilisateurs sur son site internet. Cette décision a été validée par le Conseil d’Etat dans une décision du 17 avril 2019.
500 000 € pour un dépôt de cookies à des fins publicitaires sans le consentement des utilisateurs (3/5)
En 2022, la société Brico Privé a été sanctionnée par une amende de 500 000 € pour avoir permis le dépôt de cookies à des fins publicitaires sans le consentement des utilisateurs.
3000 € et 6000 € pour des médecins généralistes (4/5)
Deux médecins libéraux ont été sanctionnés à hauteur de 3 000€ et 6 OOO€ d’amende fin 2020. En 2022, l'histoire se répète. Deux nouveaux médecins ont sanctionnés par la CNIL dans le cadre d'une procédure de sanctions simplifiée. Cette nouvelle procédure permet à la CNIL de prendre des décisions plus rapides et vise généralement les professions libérales ou petites et moyennes entreprises.
30 000 € pour une association loi 1901 reconnue d’utilité publique (5/5)
L'Alliance Française Ile-de-France a été sanctionnée par la CNIL de 30 000 € d’amende car des milliers de documents (dont des certificats d’inscriptions, factures, etc.) étaient en clair et pouvaient être téléchargés. En bref, l’association a été sanctionnée pour mauvaise sécurisation des données personnelles.
Quel secteur la CNIL va contrôler en priorité en 2023 ?
- Contrôle de l’utilisation de caméras augmentées
- Contrôle des accès au dossier patient informatisé dans le secteur sanitaire et médico-social
- Contrôle des applications mobiles
- Contrôle de l'accès au fichier des incidents de remboursement de crédit aux particuliers
Historiquement, les secteurs visés par la CNIL représentent un tiers des contrôles.
En 2024, nous saurons si la CNIL a suivi la même politique dans le cadre de son plan de contrôle 2023.
6 leçons à retenir après la sanction de Carrefour
La CNIL a prononcé deux sanctions de 2 250 000 euros et 800K euros contre les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE. Quelles sont les 6 leçons à retenir ?
- Informer correctement toutes les parties concernées
- Configurer correctement votre gestionnaire de cookies sur le site
- Exécuter les durées de conservation fixées
- Répondre à toute demande d'exercice des droits du DPO
- Faciliter l'exercice des droits
- Faites ce que vous dites et dites ce que vous faites
Pour aller plus loin, consultez l'analyse détaillée pour protéger votre organisme.
Qui est éligible aux sanctions RGPD de la CNIL ?
Toutes les entreprises, associations, professions libérales, et entités publiques peuvent être sanctionnées par la CNIL à condition que le RGPD s’applique à leur activité. Le RGPD s'applique si l'organisme traite des données à caractère personnel (pour son compte ou non) de citoyens européens.
Ne pas respecter le RGPD, c’est exposer son organisme à un contrôle de la CNIL et des plaintes adressées de salariés, clients, usagers ou utilisateurs.
Quelles sont les sanctions RGPD possibles ?
- Jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20M d’euros pour tout manquement relatif aux droits des personnes
- Des injonctions sous astreintes allant jusqu’à 100 000 euros par jour
- Des dommages et intérêts au civil du Dirigeant
- Des sanctions pénales
- Jusqu’à 2 % du chiffre d'affaires annuel mondial ou 10M d’euros pour un manquement au principe de Privacy By Design
- Une publication de la sanction aux frais de l’organisme
- Un rappel à l’ordre de la CNIL
- Autres mesures spécifiques
Dans le cadre d'un conflit relatif aux sanctions pécuniaires, le montant le plus élevé sera retenu.
Pour les associations n'ayant pas de chiffre d'affaires, les sanctions maximales sont limitées par les montants pécuniaires (c'est à dire jusqu'à 20M d’euros).
Les sanctions pour manquement au RGPD sont prononcées par la formation restreinte de la CNIL ou par sa Présidente.
La chaîne répressive de la CNIL
Pour mémo, la Commission nationale de l'informatique et des libertés (CNIL) a été créée en 1978 pour veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Depuis sa fonctionnement, elle a vu ses missions et prérogatives évoluer, notamment avec l'arrivée du RGPD. Pour sanctionner les organismes qui n'ont pas mis en place leur conformité, la Commission a mis en place une chaîne répressive.
Les 3 étapes de la chaîne répressive de la CNIL :
- Signalement ou l'auto-saisie. La majorité des sanctions démarrent avec un signalement. Ce signalement peut être réalisé via le site de la CNIL par les utilisateurs d'un site web ou application, les usagers d'un service, des salariés, des associations, des syndicats, par la presse, ou même les autorités d'un autre pays. La CNIL peut aussi s’auto-saisir (même sans signalement extérieur).
- Procédure : la phase de contrôle. Le contrôle peut être effectué sur place par des agents de la CNIL ou à distance. Ce contrôle peut même prendre la forme d’une audition des acteurs concernés ou bien d’une demande de questions et de fourniture de documents par les acteurs concernés.
- Sanctions ou Clôture. Tout dépendra du contrôle. Si la CNIL n’a aucune (ou peu d’observations) à formuler sur l’organisme contrôlé, l'autorité clôture le dossier. En cas de manquement de la part de l'organisme, plusieurs possibilités. Si le manquement est conséquent, alors la formation restreinte de la CNIL pourra directement infliger une sanction. Le cas contraire, la CNIL peut aussi décider d’effectuer une mise en demeure de l’organisme responsable du manquement et l’enjoindre à faire cesser le manquement dans un délai défini.
La CNIL contrôle les organismes sur place, sur pièce, sur audition ou en ligne. Un organisme ne pourra pas se défendre en invoquant le manque de temps, la méconnaissance du sujet ou le manque de ressources internes. Depuis le 8 avril 2022, les procédures répressives de la CNIL ont été modifiées en créant des procédures de sanctions simplifiées facilitant les sanctions d'organisme de type TPE et professions libérales.
Sanctions RGPD : les chiffres clés de 2022
- Une augmentation de 54 % des contrôles effectués par la CNIL en 2021 en comparaison de 2020. La CNIL parle de plusieurs centaines de contrôles en 2022, sans donner le chiffre exact (à suivre).
- Une augmentation de 175 % des mises en demeure prononcées en 2021 en comparaison de 2020. Stabilisation ensuite, avec une augmentation de 8,16% des mises en demeure en 2022 en comparaison de 2021.
- 214 106 000 € d’amendes prononcées par la CNIL en 2021 contre 138 489 300 € en 2020. Diminution du montant global des sanctions RGPD en 2022, avec un montant global de 101 277 900 €.
- Plus de 14 143 plaintes en 2021 ont été adressées à la CNIL contre 13 585 en 2020. Stabilisation du nombre de plaintes en 2022.
- Augmentation en 2022 du nombre de sanctions prononcées à l'égard des "petites" entreprises, jusque-là raisonnablement épargnées par les autorités. Désormais, la CNIL disposant d'une procédure de sanction simplifiée, a aujourd'hui plus de "facilités" à rendre des décisions à l'encontre d'une petite ou moyenne entreprise.
Les plus grosses sanctions RGPD de la CNIL en 2022
Sanction de Google
Le 6 janvier 2022 Google a été sanctionné à hauteur de 150M d’euros. En effet la CNIL a relevé une atteinte à la liberté du consentement dans son procédé d’acceptation des cookies. Enjoint de se mettre en conformité sous 3 mois, 100 000 € par jour ont été prononcés à titre d’astreinte.
Sanction de Facebook
Le 6 janvier 2022 Facebook a été sanctionné de 60M d’euros pour avoir porté atteinte à la liberté du consentement des utilisateurs lors de l’acceptation des cookies. Dans son fonctionnement, comme pour Google, la possibilité de refuser les cookies n’était pas aussi simple que de les accepter. Le choix était ainsi biaisé, rendant le consentement vicié. Enjoint de se mettre en conformité sous 3 mois, 100 000 € par jour ont été prononcés à titre d’astreinte (les cadres et les C-level de l'entreprise ont certainement donnés de nouvelles lignes directrices suite à cette histoire).
Sanction de Microsoft
Le 19 décembre 2022, la société Microsoft a été condamnée par la CNIL à hauteur de 60M d’euros. En effet Microsoft aurait dû proposer un mécanisme à ses utilisateurs permettant de refuser les cookies aussi facilement que de les accepter. Enjoint de se mettre en conformité sous 3 mois, 60 000 euros par jour ont été prononcés à titre d’astreinte.
Sanction de Clearview AI
Le 20 octobre 2022, la société Clearview AI a été sanctionnée par la CNIL à hauteur de 20M d’euros avec obligation de se mettre en conformité sous 2 mois, sous peine de 100 000 euros par jour de retard à titre d’astreinte. Dans son fonctionnement, la société a collecté et utilisé sans base légale, les données des utilisateurs sur de nombreux sites web et notamment leurs photographies. Elle se serait appropriée (selon la CNIL) pas moins de 20 milliards d’images à travers le monde. Une mine d'or pour les developpers et cadres de cette entreprise dans la tech.
Sanction de Dedalus Biologie
Le 15 avril 2022 la société Dedalus Biologie a été sanctionnée par la CNIL de 1,5M d’euros pour manquement à l’obligation de sécurité et manquement au respect des obligations incombant aux sous-traitants. Ce manquement a été révélé par une fuite de données médicales de près de 500 000 personnes en février 2021.
Sanction de Discord
Le 10 novembre 2022 la CNIL a sanctionné Discord à une amende de 800 000 d'euros. Cette amende fait suite à des manquements en matière de durée de conservation des données et de sécurité des données personnelles.
Top 8 des sanctions RGPD reçues par pays
Vous avez ici le top des sanctions 2021 et 2022.
TOP 1 : Luxembourg : Amazon a été condamné en juillet 2021 à 746 millions d'euros. C’est la plus grosse condamnation depuis l’entrée en application du RGPD. Les raisons exactes de cette condamnation ne sont, pour le moment, pas encore publiques du fait du droit luxembourgeois. Pour rappel, Amazon avait déjà été sanctionné par la CNIL fin 2020 à hauteur de 35M €.
TOP 2 : Irlande : Suite à une décision contraignante du CEPD (Comité européen à la protection des données), l’autorité de protection des données irlandaise a condamné en 2022 Instagram à une amende de 405 millions €. Le groupe Meta, au travers d'Instagram, traitait en effet les données personnelles de mineurs de façon illicite. L’autorité irlandaise, souvent critiquée pour sa passivité à l’égard des GAFAM, est ainsi à l’origine de la seconde plus grande sanction de ces deux dernières années. Il est important de noter que cette sanction n’a pu avoir une telle gravité que grâce à la décision contraignante du CEPD. Dès lors, l’autorité de protection des données irlandaise a été obligée de revoir sa sanction à la hausse.
TOP 3 : France : La CNIL a frappé fort en décembre 2021 en condamnant Google à 150 millions € d’amende au total. La raison de cette condamnation était une atteinte à la liberté du consentement des utilisateurs lors du dépôt de cookies.
Le cas Clearview : Rien de moins que quatre pays : la Grèce, le Royaume-Uni, la France et l’Italie. Ces quatre pays ont sanctionné Clearview entre février et octobre 2022 pour un total de plus de 68M € d’amende au total. Cette société a mis au point un moteur de recherche permettant d’identifier une personne par le biais d’une vidéo ou d’une photographie. Comment fait-elle cela ? Elle utilise (sans base légale) les données présentes des utilisateurs sur les réseaux sociaux. Elle aurait ainsi collecté des dizaines de milliards de photos sans consentement afin de pouvoir remplir sa base de données (ce qui constitue un traitement illégal).
TOP 4 : Italie : Dans le cadre de ses services, Enel energia a été condamné en 2022 par l’autorité de protection des données italienne à 26,5 millions d'€. La société productrice d’énergie n’aurait pas respecté le consentement des utilisateurs avant de traiter leurs données à des fins de démarchages téléphoniques.
5) Allemagne : En janvier 2021 l’Allemagne a condamné à 10,4M € la société Notebooksbiliger qui avait mis en place, sans base légale, des caméras de vidéosurveillance de ses employés.
6) Espagne : En mai 2022, l’autorité espagnol a sanctionné nul autre que Google pour irrespect du droit à l’oubli des personnes concernées. La sanction imposée à Google s’élève à 10M €.
7) Autriche : En septembre 2021, on retrouve la poste autrichienne sanctionnée à hauteur de 9,5 millions € pour avoir “oublié” de faciliter les demandes de droit des personnes concernées.
8) Norvège : En décembre 2021, c’est l’application de rencontres Grindr qui a été condamnée à 6,3 millions € d’amende pour partage illégal de données.
Le CEPD peut-il sanctionner une entreprise européenne à la place de la CNIL ?
Le CEPD (Comité européen de la protection des donnée) prend parfois des décisions contraignantes (sur le fondement de l’article 65) en cas de litiges entre autorités de protection des données de l’UE. Il poursuit aussi un travail d’élaboration de la doctrine commune grâce à la production de lignes directrices, d’avis, etc. La CNIL a en pratique renforcer ses partenariats avec d'autres autorités de contrôle européennes pour faciliter la mise en œuvre du RGPD à l'échelle européenne (inter-régulation).
Ces partenariats permettent d'harmoniser les pratiques et les interprétations de la réglementation. Prenez garde à ne pas confondre le CEPD avec la Cour de Justice de l'UE qui veille à l'uniformité de l'interprétation du droit européen sur tout le territoire. En somme, la Cour de Justice peut contrôler les décisions prises par les autorités publiques et les instances de justice de chaque pays membre de l'Union Européenne. Ses jugements peuvent s'appliquer à tous les Etats membres.
Top 7 des sanctions RGPD recensées par pays en 2018 et 2019
Remontons dans l'histoire des sanctions RGPD avec ce classement dans les premières années après l'entrée en vigueur du RGPD (General Data Protection Regulation) en 2018 et 2019.
7ème position : Espagne : l'AEPD a sanctionné RTVE de 60 000 € pour la perte de six clés USB contenant des données de modèles sensibles.
6ème position : Pays-Bas : 2 sanctions pour absence de mesures de sécurité suffisantes :
La première pour un assureur dont le système d'authentification, pour l'accès aux données de santé de ses salariés, n'était pas suffisant. Condamné à une amende de 150 000 €/mois tant que le problème ne serait pas résolu (dans la limite de 900 000 €).
La seconde sanction a été appliquée à un hôpital pour ne pas avoir garanti une sécurité adéquate des dossiers de ses patients. L'Amende s'élève à 100 000 € toutes les deux semaines (avec une limite de 300 000 €) jusqu'à ce que la sécurité soit corrigée.
5ème position : Espagne : LaLiga condamnée à 250 000 € pour violation du principe de légalité, de loyauté et de transparence.
TOP 4 : Portugal : Un hôpital pour avoir donné accès aux données des patients à travers de faux profils de médecins. Cela donnait un accès illimité aux dossiers des patients de l'hôpital qui a été condamné à 400 000 €.
TOP 3 : En Pologne : L'UODO condamne une boutique en ligne à une amende de 645 000 €. L'absence de système de sécurité adéquate a permis de découvrir les données personnelles de deux millions de clients.
TOP 2 : Allemagne : La société immobilière allemande Deutsche Wohnen a été condamnée à 14,5 millions €. Elle conservait des données outre mesure en enfreignant le General Data Protection Regulation.
TOP 1 : France : Google a été condamné à 50 millions €, car les informations mises à disposition des utilisateurs étaient difficilement accessibles et compréhensibles.
Petit bonus avec le Royaume-Uni (hors UE) : 110 millions € pour les hôtels Marriott suite à une violation de données de plus de 330M de personnes (ce qui constitue une atteinte aux droits des personnes considérable). Dans un même cadre, la compagnie British Airways a été condamnée à plus de 204 millions € pour avoir révélée a posteriori la violation des données de ses clients.
Pour terminer, voici le résumé d'une sanction RGPD originale
Le 24 septembre 2021, le ministère de l’Intérieur a été rappelé à l’ordre par la CNIL concernant la gestion du FAED, un fichier de police judiciaire d’identification, dans lequel sont traitées les empreintes digitales de personnes mises en causes dans le cadre de procédures pénales. Cependant de nombreux manquements ont été identifiés par la CNIL, tels qu’un manquement à l’obligation d’information des personnes concernées, une conservation des données excédant la durée de conservation légale ou strictement nécessaire, une collecte de données allant à l’encontre du principe de minimisation, une sécurisation dudit fichier trop faible. Le ministère de l’Intérieur a ainsi été enjoint de corriger ces manquements.